Налаштування параметрів реєстру на комп'ютерах за допомогою групових політик (Active Directory)

У цій статті ми розглянемо, як за допомогою групових політик (GPO) централізовано керувати, створювати, змінювати значення, імпортувати і видаляти будь-які ключі реєстру на комп'ютерах домену.

У класичних групові політики була відсутня вбудована можливості управління довільним параметром реєстру. Тому адміністраторам для централізованого управління ключами і параметрами реєстру через GPO доводилося створювати власних адміністративні (.adm / .admx) шаблонів (приклад GPO на admx шаблоні для Google Chrome) або bat-файлів для Logon скриптів (імпорт reg файлу за допомогою команди reg import).

У Windows Server 2008 Microsoft представила розширення групових політик під назвою переваги групових політик (Group Policy Preferences - GPP). У GPP з'явився спеціальний розділ, за допомогою якого адміністратор може налаштувати (створити, видалити) будь-який параметр або гілку реєстру і поширити це ключ на всі комп'ютери домену. Розглянемо ці можливості докладніше.

Припустимо, вам потрібно на всіх комп'ютера в певному контейнері (OU) домену відключити автоматичне оновлення драйверів за допомогою зміни значення параметра SearchOrderConfig в гілці реєстру HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ DriverSearching. Є два способи задати параметр реєстру на цільових комп'ютерах домену: за допомогою вбудованого в консоль GPP браузера реєстру на віддалених комп'ютерах або вручну, шляхом ручного вказівки шляху до гілки реєстру і імені параметра.

зміст:

Майстер створення / редагування параметрів реєстру в GPO
Ручне створення параметра реєстру за допомогою групових політик
Імпорт .reg файлу в GPO

Майстер створення / редагування параметрів реєстру в GPO

Спочатку розглянемо перший спосіб:

Відкрийте консоль управління доменними політиками Group Policy Management Console (gpmc.msc);
Створіть нову (або відредагуйте існуючу) GPO, призначте її на потрібний контейнер AD з комп'ютерами (або користувачами), на які потрібно поширити кількість написаних вами параметар реєстру, і перейдіть в режим редагування політики;
Розгорніть розділ GPO Computer (або User) Configuration -> Preferences -> Windows Settings -> Registry і в контекстному меню виберіть пункт New -> Registry Wizard;
Майстер Registry Wizard дозволяє по мережі підключитися до реєстру на віддаленому комп'ютері і вибрати наявний на ній параметр реєстру та його значення;
Вкажіть ім'я комп'ютера, до якого потрібно підключитися;Примітка. Якщо при підключенні до комп'ютера через Registry Browser з'являється помилка The network path was not found, швидше за все комп'ютер відключений, доступ до нього заблоковано файерволом, або на ньому не включена служба Remote Registry (Віддалений реєстр).Щоб вручну включити службу RemoteRegistry, потрібно на віддаленому комп'ютері виконати команди:sc config remoteregistry start = demand
net start remoteregistry
За допомогою браузера віддаленого реєстру виберіть всі параметри реєстру, які ви хочете налаштувати через GPO;
Примітка. Даний браузер дозволяє на віддалених ПК вибирати ключі тільки з розділів HKEY_LOCAL_MACHINE і HKEY_USERS. Якщо потрібно задати ключі, що містяться в інших гілках реєстру, доведеться на віддаленому комп'ютері встановити RSAT (установка RSAT в Windows 10). Потім на цьому комп'ютері запустіть консоль gpmc.msc і за аналогічною процедурою вкажіть потрібні вам параметри реєстру.
У нашому прикладі ми хочемо через GPP змінити в реєстрі значення тільки одного параметра- SearchOrderConfig;
Зазначений параметр реєстру імпортується в консоль GPP разом з шляхом і поточним значенням (0). Як ви бачите, в консолі управління GPO з'явилося дерево реєстру, в якому зберігається даний параметр. Надалі ви можете змінити його значення і дію з ним (розглянемо трохи нижче);
На цьому створення політики GPP закінчено. При наступному оновленні налаштувань групових політик на всіх комп'ютерах, що потрапляють під дію цієї політики, значення ключа реєстру SearchOrderConfig зміниться на 0 (якщо політика не відпрацьовує на клієнті, для діагностики можна скористатися утилітою gpresult, і рекомендаціями зі статті "Чому не застосовується GPO?").

Якщо політика перестане діяти на комп'ютер (політика видалена або отлінкована від контейнера, комп'ютер перенесений в інший OU і т.д.), значення параметра реєстру не повернеться на початкове (дефолтний) значення (як у випадку зі звичайними настройками політик GPO).

Ручне створення параметра реєстру за допомогою групових політик

Ви можете створити, змінити або видалити конкретний параметр або ключ реєстру за допомогою GPP, вказавши гілку реєстру, ім'я та значення параметра вручну.

Для цього виберіть пункт Registry -> New-> Registry Item;
У полях Hive, Key Path, Value Name, Value type, Value data потрібно вказати відповідно розділ реєстру, гілку, ім'я, тип і значення параметра, який ви хочете змінити;
За замовчуванням для параметра реєстру, які налаштовуються через GPO, встановлюється режим Update.

Доступні 4 види операції з параметрами реєстру.

Create - створює параметр реєстру. Якщо параметр вже є, його значення не змінюється;
Update (За замовчуванням) - якщо параметр вже є, його значення зміниться на значення, вказане в політиці. Якщо параметр реєстру не існує, він буде створений автоматично (як і гілка реєстру, в якій він повинен знаходиться);
Replace - якщо елемент реєстру вже існує, він видаляється і створюється заново (застосовується рідко);
Delete - параметр реєстру буде видалений.

на вкладці Common є ще ряд корисних опцій:

Run in logged-on user's security context (user policy option) - ключ реєстру створюється в контексті поточного користувача (можливо тільки для GPP, які ви створюєте в призначеному для користувача розділі GPO). Якщо у користувача немає прав адміністратора, політика не зможе виконати запис в системні гілки реєстру;
Remove this item when it is no longer applied - якщо політика перестає діяти на клієнта, параметр буде автоматично видалений;
Apply once and do not reapply - застосувати політику тільки один раз (для комп'ютера, або користувача). Якщо після першого застосування GPO користувач вручну змінить значення параметра реєстру на своєму комп'ютері, політика не перезатрет його значення при повторному оновленні GPO;
Item-level targeting - можливість більш точного таргетування політики на клієнтів (ви можете націлити політику на конкретний IP, підмережа, ім'я комп'ютера, комп'ютери з певними характеристиками - тобто можна налаштувати тонке застосування політик за аналогією з WMI фільтрами GPO). Наприклад, ви можете вказати, що параметр реєстру повинен застосується на комп'ютери з Windows Server 2012 R2 в OU Servers.

Ось так в консолі GPMC (вкладка Settings) виглядає результуючої звіт з настройками групової політики, яка змінює значення одного параметра реєстру.

Імпорт .reg файлу в GPO

Розширення GPP дозволяє адміністратору легко імпортувати в групову політику .reg файл відразу з декількома параметрами реєстру. Але для цього reg файл потрібно конвертувати в XML формат (редактор Group Policy Editor дозволяє імпортувати тільки файли в XML форматі).

Наприклад, у нас є еталонний комп'ютер, на якому сконфігурірованни настройки в якійсь гілці реєстру. Експортуємо ці настройки в REG файл, клацнувши правою кнопкою на ім'я гілки в редакторі реєстру regedit і вибравши Export.

Збережіть параметри гілки реєстру в reg файл.

Якщо у вашому reg файлі присутні дані з різних кущів реєстру (HKLM, HKCU, HK_CLASSES), їх потрібно розділити на окремі reg файли.

Даний REG файл потрібно перетворити в XML формат (ви можете виконати конвертацію reg-> xml за допомогою онлайн сервісу https://www.runecasters.com.au/reg2gpp або скрипта RegToXML.ps1 - https://gallery.technet.microsoft. com / scriptcenter / Registry-To-GroupPolicyPref-9feae9a3).

Отриманий XML файл потрібно скопіювати в провіднику і в редакторі Group Policy в секції Registry виконати вставку (Paste).